University of Idaho - I Banner
Menu
A student works at a computer

SlateConnect

伊利诺伊大学基于网络的保留和建议工具为学生的毕业之路提供了有效的指导和支持. Login to SlateConnect.

Common Tools

Resources

Services

Access Email Access MyUI Visit Human Resources

IT Standards

Student Technology Center

Physical Address:

Teaching Learning Center Room 128

Office Hours:

Monday - Friday
8 a.m. to 5 p.m.

Summer Hours:

Monday - Friday
7:30 a.m. to 4:30p.m.

Phone: 208-885-4357 (HELP)

Email: support@12212011.com

Map

Access Control

Overview

这个更新的标准是为了帮助围绕访问控制的现有IT实践与NIST 800-171 (AC | 3)中的要求保持一致.1.x) as well as industry best practices.

What is in this document:

  • Zero trust requirements for high-risk data
  • 最小权限原则在APM 30中的应用.10
  • Requirements of external/public systems
  • Session and timeout requirements
  • Remote and wireless access

What is NOT in this document:

Policy Reference

APM 30.10 Identity and Access Management Policy

APM 30.11 University Data Classification and Standards

APM 30.12 Acceptable Use of Technology Resources

APM 30.14 Cyber Incident Reporting and Response

APM 30.16 Technology Hardware Lifecycle Management

Purpose

This Access Control standard supports APM 30.11 University Data Classification and Standards and other relevant university policies.

Scope

这些标准是所有访问的托管和非托管系统的最低基线, store or process University of Idaho data (see APM 30.14 C-6)或使用bet365亚洲官网的技术资源(参见 APM 30.12 C-1) at the Low, Moderate- or High risk levels (see APM 30.11)未包括在经批准的系统保安计划内.

Standards

非公共系统必须在访问之前识别用户和/或设备.

  1. 身份验证源使用定义的标识类型 Identification and Authentication standard section 1.
    Applies to: Low / Moderate / High
  2. 任何用于访问高风险大学资源的设备都必须被识别为健康设备, 通过以下批准的方法之一管理技术设备, Azure Conditional access, 签署的设备证书或其他符合以下条件的oit批准的库存:

    Applies to: High

    1. Currently supported operating system.
    2. 必须在30天内安装最新的安全补丁,以便有宽限期按要求安装补丁.
    3. Device has a password set.
    4. Device is encrypted.
    5. Device has the system firewall enabled.
    6. Identified as a unique managed technology device.
    7. 大学托管端点安全安装在支持的位置.
    8. 不支持这些检查的系统必须要求流量来自特定的经过验证的网络.
  3. 授权是基于个人身份授予资源的, 在一个由it管理的身份源内的组或从属关系.

    Applies to: Low / Moderate / High

To ensure compliance with APM 30.10 B-1以下标准确保最低特权得到实施并可审计:

  1. 系统/应用程序所有者必须在文档以及任何相关的系统安全计划或知识库文章中记录授权帐户类型或组.

    Applies to: Low / Moderate / High

    1. If multiple levels of permissions are provided, such as privileged or administrator roles, each group must be documented.
    2. 中等和高风险应用程序还必须提供提供给帐户类型或组的角色/权限.
  2. 限制仅对具有合法教育兴趣或文档化业务需求的用户和系统进行访问.

    Applies to: Low / Moderate / High

  3. 记录和保留用户访问请求和批准至少1年.

    Applies to: Moderate / High

  4. 一旦不再需要访问,就禁用帐户访问.

    Applies to: Low / Moderate / High

  5. 根据APM 30,特权功能必须仅限于打算成为特权帐户的帐户.10 Section A-2.

    Applies to: Moderate / High

    1. 特权帐户通过“su-”、“ad-”、“admin-”或“net-”前缀标识.
    2. 通过“v-”前缀标识的供应商帐户可以作为特权帐户使用,如果记录为特权帐户.
  6. 如果在应用程序文档中记录为特权帐户,则可能存在特定于本地系统或应用程序的未使用这些前缀的特权帐户.
  7. 根据APM 30,特权帐户不能用于非特权功能.10 Section B-1.

确保数据不被不当共享:

  1. External systems for storage:
    1. 不得用于“批准存储地点”中定义的系统。3 或者“哪些Microsoft 365应用程序被批准使用”?‘4 knowledge base articles.

      Applies to: Low / Moderate / High

      1. 如果OIT Security识别出足够的风险,并且CIO/VP批准了限制,则未经批准的系统或应用程序将通过网络或其他应用程序控制受到限制.
    2. 是否只可用于大学资料,须经资讯科技署审核及批准后才可用于大学用途.

      Applies to: Low / Moderate / High

  2. For public systems:
    1. 应用程序所有者必须创建并维护授权发布的用户列表.

      Applies to: Low / Moderate / High

    2. 应用程序所有者必须定义一个审查过程, including a data sensitivity review, 在发布或启用自动发布系统的情况下.

      Applies to: Low / Moderate / High

    3. 应用程序所有者必须在创建系统时向OIT注册,并证明发布的信息不会也不会包含非bet365亚洲官网,并由系统所有者或OIT自行决定定期进行审查.

      Applies to: Low / Moderate / High

    4. 应用程序所有者必须定义帖子/内容删除或更正程序.

      Procedure must:

      1. Include who removals must be reported to.
      2. 能够按照APM 30的要求及时完成CSIRT要求的修复工作.14.

        Applies to: Low / Moderate / High

为确保登录机制的信任,系统必须遵循以下标准:

  1. 10分钟内最多20次错误尝试后自动锁定帐户.

    Applies to: Low / Moderate / High

  2. 管理的技术设备必须包括在系统使用通知知识库文章中定义的经批准的系统使用通知8.

    Applies to: Low / Moderate / High

    1. 应用程序所有者必须创建并维护授权发布的用户列表.

  1. 在一段时间不活动(空闲)后,为用户访问操作系统强制会话锁定和超时:

    Applies to: Low / Moderate / High

    Device/Access type Lockout Timeout
    Default 15 mins N/A
    High-risk systems 5 mins N/A
    Shared workstations 15 mins 20 mins
    Shared high-risk workstations 5 mins 20 mins
    SSH Access 3 min keep alive 90 mins
    1. 延长超时的请求必须得到OIT安全部门的批准.
  2. 根据NIST 800-63b,对用户访问和空闲超时或锁定进行限制.
    1. 应用程序必须有30天的会话限制,或者在14天不活动(空闲)后锁定/超时。.

      Applies to: Low

    2. 应用程序必须有12小时的会话限制和30分钟不活动(空闲)后的超时.

      Applies to: Moderate

      1. 重新身份验证必须使用IT帐户创建中定义的至少一(1)个身份验证因素, Retention and Expiration Standards.
      2. 与被管理设备或应用程序的会话可以利用设备锁定期,而不是通过web应用程序强制执行.
    3. 应用程序必须有12小时的会话限制,并且在不活动(空闲)15分钟后锁定。.

      Applies to: High

      1. 重新身份验证必须使用IT Account Creation定义的至少两(2)个身份验证因素, Retention and Expiration Standards.
  3. 操作系统的锁定必须显示模式隐藏显示,如锁定屏幕, static images, a clock or even a blank screen.

    Applies to: Low / Moderate / High

  4. 当用户或管理员请求时,完全自动地终止用户会话.

    Applies to: Low / Moderate / High

  5. 当会话不再需要或有效时,自动终止会话.

    Applies to: Low / Moderate / High

通过U of I VPN、VPN授予远程访问权限.uidaho.Edu,或符合这些标准的经批准的路径:

  1. Authentication events are recorded with user, timestamp, authentication outcome, remote and assigned IP.
  2. 远程访问必须使用大学证书和oit管理的MFA.
  3. 身份验证和会话将使用强大的现代TLS加密,并保持最新状态.
    1. 监管数据将需要使用经批准和验证的算法,如FIPS.
  4. 远程访问高风险网络需要对设备进行鉴权,请参见本文档C-1b章节.

确保个人可以安全地访问和使用数据和系统, 他们必须使用适当的U of I无线网络,同时在校园内使用无线网络,这将符合以下标准:

  1. 使用的无线接入点记录在NMS内,并由OIT管理.
  2. 无线访问需要通过加密通道进行身份验证.
    1. U of I内部网络,如AirVandalGold - WPA2 Enterprise,使用PEAP和MSCHAPv2或EAP-TLS
    2. U of I公共、来宾或事件网络- WPA2预共享密钥(PSK)

Other References

1. NIST SP800-171r2 (February 2020) 

2. NIST SP800-53r5 (September 2020)

3. Approved storage locations

4. 哪些Microsoft 365应用程序被批准使用?

5. System Use Notification

6. NIST SP800-63-3 summary table

7. IT帐户创建、保留和到期标准

Definitions

1. Authorized User

任何需要访问信息系统的获得适当许可的个人.

2. Processes

An application, program, script or other software. 它的灵敏度取决于它能访问的数据, 包括对其他应用程序的API调用以及它带入内存的本地数据.

3. Authorized publishers

有权在系统上发布信息的个人.

4. External system

“在组织建立的授权边界之外的系统或系统的组成部分,并且组织通常无法直接控制所需安全控制的应用或安全控制有效性的评估。.” NIST SP800-171r2

5. Public system

可以从公众或互联网以任何形式访问的系统或应用程序.

6. Privileged functionality

可能影响机密性的功能, 数据的完整性或可用性,包括但不限于访问权限的更改, roles, security configuration, 直接改变其他用户的高风险或非公开数据,或影响其他用户的高风险或非公开数据的安全性.

7. Non-privileged functionality

标准用户活动,包括但不限于电子邮件,网页浏览和一般类任务.

8. Non-privileged User

无法执行特权功能的用户. 也可以称为标准用户或帐户.

9. Remote Access

通过外部网络通信的用户(或代表用户的过程)对组织系统的访问.g., the Internet).” NIST SP800-171r2

10. Session lockout

一种移除对系统访问的方法,该方法保留用户会话信息并且不中断正在运行的进程, 但是在重新访问系统之前仍然需要重新验证.

11. Session timeout

一种删除系统访问权限的方法,该方法完全删除了用户会话信息并需要重新身份验证.

12. Session limit

无论活动如何,会话有效的时间长度.

13. System

为收集而组织的一组离散的信息资源, processing, maintenance, use, sharing, dissemination or disposition of information.” NIST SP800-171r2

14. Operating system

管理计算机硬件资源并为计算机程序提供公共服务的软件集合.” NIST SP 800-152. Includes but is not limited to:

  1. Windows
  2. MacOS
  3. Linux distributions (Ubuntu, RedHat, etc.)
  4. Android
  5. iPhone/iPad iOS
  6. Vendor provided appliance OS

15. bet365亚洲官网网络管理系统(NMS)

bet365亚洲官网专有的网络管理系统, 网络上的设备和网络间的连接.

16. Managed Technology Device

由oit定义的安全和管理软件管理的标准技术硬件. See APM 30.16 Section C-2.

Standard Owner

信息技术办公室(OIT)负责这些标准的内容和管理.

To request an exception to this standard.

Contact: oit-security@12212011.com

Revision History

3/1/2024 — Minor updates

  • 增加了允许使用特定网络来代替设备健康检查.
  • 增加了供应商账户的特权记录.
  • Other minor formatting/wording/reference changes.

6/23/2023 — Original standard

  • Full re-write to align with NIST 800-171r2

Download Adobe Reader

Student Technology Center

Physical Address:

Teaching Learning Center Room 128

Office Hours:

Monday - Friday
8 a.m. to 5 p.m.

Summer Hours:

Monday - Friday
7:30 a.m. to 4:30p.m.

Phone: 208-885-4357 (HELP)

Email: support@12212011.com

Map